Risikomodelle für Zahlungsplattformen: Ein umfassender praktischer Leitfaden

  • Kreditmanagement, Betrugsbekämpfung und widerrechtliche Aneignung lassen sich durch risikoangepasste Onboarding-, Überwachungs- und Minderungsprozesse steuern.
  • Stärkt Sicherheit und Compliance (PCI, 3DS, AVS, CVV, SSL/TLS, Tokenisierung), um Verstöße und Rückbuchungen zu reduzieren.
  • Es kombiniert Tools von Drittanbietern und ML-Modelle mit Risikomanagement, Analytik und kontinuierlicher Überprüfung.
Alberto Navarro

13 Minuten

Risikomodell in Zahlungsplattformen

In digitalen Unternehmen ist das Risikomanagement ein alltägliches Ereignis: von Risiken, die den Ruf beeinträchtigen, bis hin zu solchen, die sich auf den Betrieb und die Finanzen auswirken. Im Zahlungsverkehr konzentrieren sich die Risiken auf drei Hauptbereiche: Kreditwesen, Betrug und Kontoübernahme.Und obwohl eine vollständige Beseitigung unmöglich ist, können wir sie durch Prozesse, Technologie und Urteilsvermögen reduzieren.

Plattformen, die Zahlungen an Dritte ermöglichen, weisen eine besondere Risikostruktur auf: Die Plattform selbst, die Händler oder Anbieter, die die Zahlungen verarbeiten, und die Karteninhaber, die bezahlen, existieren alle nebeneinander. Diese „dreifache Schicht“ erzeugt Wechselwirkungen und gegenseitige Risiken, die durch Einarbeitungsstrategien, kontinuierliche Überwachung und Risikominderung angegangen werden müssen.Unterstützt durch Sicherheitsstandards, Einhaltung gesetzlicher Bestimmungen und Tools von Drittanbietern.

Risikoübersicht bei digitalen Zahlungen

Bevor wir auf taktische Details eingehen, müssen wir zunächst die zugrunde liegenden Begriffe definieren. Ein Kreditrisiko entsteht, wenn Rückerstattungen oder Rückbuchungen gedeckt werden müssen und die Barreserven des Verkäufers nicht ausreichen.Betrug liegt vor, wenn nicht autorisierte Abbuchungen erfolgen (gestohlene Karten, BIN-Tests usw.); eine Kontoübernahme liegt vor, wenn ein Betrüger die Kontrolle über das Konto eines rechtmäßigen Verkäufers erlangt.

Klassisches Beispiel: Eine Event-Plattform liquidiert die Veranstalter vor dem Veranstaltungstermin, und die Veranstaltung wird abgesagt. Kann der Veranstalter das Geld nicht zurückzahlen, trägt die Plattform den Verlust.Dieser Fall zeigt, warum der Transferplan und die anfängliche Risikobewertung so wichtig sind.

Neben dem wirtschaftlichen Aspekt gibt es auch den technischen: Betrugstechniken entwickeln sich parallel zur Verbreitung von E-Commerce, kontaktlosen Zahlungen und digitalen Geldbörsen.Daher ist Sicherheit eine notwendige Voraussetzung für Wachstum und die Einhaltung von Vorschriften und Kundenanforderungen.

Strategien zum Management von Kreditrisiken

Ziel ist es, negative Salden und Konzentrationen von Risiken bei Anbietern oder Branchen vorherzusehen. Die Maßnahmen sind in drei Bereiche unterteilt: Onboarding, Monitoring und Risikominderung..

Onboarding

  • Aufnahmeprüfung: Es sammelt Geschäftsinformationen (Produkt/Dienstleistung, Rückgabebestimmungen, Absatzprognose, Historie auf ähnlichen Plattformen) und führt bei großen Verkäufern manuelle Überprüfungen anhand von Finanzberichten und Bonitätsanfragen bei Eigentümern und Managern durch.

  • Temporäre Kontrollen: Setzen Sie anfängliche tägliche/monatliche Volumenlimits fest und pausieren Sie die Überweisungen, wenn diese überschritten werden, um die Aktivitäten zu überprüfen, bis Sie das Handelsmuster des Kontos verstehen.

  • Reservierungen: erfordert Garantien (z. B. durch Fondsreserven) für Konten mit hohem Risikoprofil und Diese Reserve wird schrittweise freigegeben, wenn sie eine gute Erfolgsbilanz vorweisen können..

Überwachung

  • Dynamische Warnmeldungen: Überwacht Streitigkeiten, negative Salden, Reklamationen und Volumenänderungen. Eine Streitquote über 0,75 % ist ein Warnsignal. was sofortiges Handeln erfordert.

  • Regelmäßige Überprüfungen: Zusätzlich zu den täglichen Benachrichtigungen sollten Sie detaillierte Analysen einplanen, um Trends bei Rückbuchungen, Rückerstattungen, der Konzentration nach Kunde/Land und der durchschnittlichen Ticketgröße zu erkennen.

  • Proaktive Bildung: stellt Leitfäden und Ressourcen für Notfälle (Gesundheitskrisen, Naturkatastrophen) zur Verfügung. um Verkäufern bei der Abwicklung von Retouren und der Betreuung ihrer Kunden zu helfen.

Minderung

  • Verzögerte Übertragungen: Die Abrechnungshäufigkeit wird an die Risikokategorie angepasst. Für aufgeschobene Waren/Dienstleistungen, Geld bis zur Lieferung einbehalten. um Retouren und Rückbuchungen zu reduzieren.

  • Umgang mit negativen Kontoständen: setzt je nach Gerichtsbarkeit automatische Lastschriften oder Rückforderungspläne um für Konten mit negativen Salden bereinigen und die Gefahr eines Sturzes auf den Bahnsteig zu verhindern.

  • Konzentrationsgrenzen: definiert Expositionsschwellenwerte nach Land, Branche oder Anbieter (z. B. darf ein einzelner Anbieter einen bestimmten Prozentsatz des Gesamtrisikos nicht überschreiten) und verschärft die Richtlinien, wenn sie überschritten werden.

  • Erfassung kurz vor der Auslieferung: ungefähre Zahlung und Lieferung; autorisiert erste und Erfassung des Zeitpunkts, an dem die Dienstleistung/das Produkt erbracht wurde.

Betrugsrisikomanagementstrategien

Eine betrügerische Zahlung ist eine Zahlung, die der Karteninhaber nicht autorisiert hat. Es könnte sich dabei um Einkäufe mit gestohlenen Karten oder um sogenannte „Card Testing“-Angriffe handeln. zur Überprüfung der Nummerierung. Die Plattform muss abgedeckt sein von Käuferbetrug und die von betrügerischen Verkäufern, mit stufenweisen Maßnahmen.

Onboarding

  • Identität und Legitimität: Überprüfen Sie das Unternehmen: Präsenz in sozialen Medien, Lizenzen, funktionsfähige Website (Vorsicht vor kopierten Texten, unübersichtlichen Vorlagen). physische Adresse und Inventar oder Serviceunterlagen.

  • Erkennt Duplikate: Prüft Daten (IBAN, Steuerinformationen, Name/Geburtsdatum) anhand abgelehnter Konten. identische IP- oder Domänenmuster und Beziehungen zwischen Konten.

  • Rückstellungen für Risiken: genau wie beim Kreditwesen, eine Garantie behalten bei Konten mit höherer Betrugswahrscheinlichkeit und die Freigabe erfolgt stufenweise.

Überwachung

  • Normalität definieren: erstellt Profile des typischen Verhaltens jedes Verkäufers (monatliches Volumen, Streitquote, durchschnittlicher Ticketpreis) Anomalien durch Abweichung erkennen.

  • Benutzerdefinierte Benachrichtigungen: erstellt Ad-hoc-Regeln basierend auf beobachteten Mustern in bestätigte Betrugsfälle um neuen Versuchen zuvorzukommen.

  • Zusätzliche Tests: Wenn Ihnen verdächtige Anzeichen auffallen, fordern Sie an Rechnungen, Inventarfotos oder Sendungsverfolgungsnummern und Zahlungen gegebenenfalls aussetzen.

Minderung

  • Bedingte Liquidation: passt Zahlungspläne bei Risiko und verzögerte Überweisungen bis die Stabilität der Rückbuchungsquoten nachgewiesen ist.

  • Kartentest: Ungewöhnliche Spitzenwerte bei abgelehnten Zahlungen (402-Codes) deuten auf Kartentests hin. Führen Sie Barrieren wie CAPTCHA ein. oder Beschränkungen pro IP-Adresse/Gerät.

Kontoübernahme

Selbst bei seriösen Verkäufern kann ein Angreifer das Konto kapern und Gelder abzweigen. Die beste Verteidigung kombiniert eine robuste Überprüfung und Überwachung von Verhaltenssignalen..

  • Identitäts- und Sicherheitsüberprüfung: strenge Passwortrichtlinien, Zwei-Faktor-Authentifizierung und Zugangskontrollen gut gestaltet.

  • Warnsignale: Volumenspitzen, Erhöhungen des durchschnittlichen Ticketpreises, beginnend mit entfernten IP-Adressen oder „neuen“ Geräten. Unterbrechen Sie die Übertragungen, wenn Sie Anomalien feststellen.

Sicherheit, Compliance und technische Kontrollen

Die Sicherheit von Zahlungen basiert auf Standards. Ende der 90er Jahre führte Visa CISP ein, und kurz darauf entwickelten die anderen Netzwerke ihre eigenen Programme. Um die Kriterien zu vereinheitlichen, wurde PCI DSS geschaffen, der globale Standard, der Kontrollen für diejenigen definiert, die Kartendaten verarbeiten, übermitteln oder speichern..

PCI DSS klassifiziert die Konformität nach Stufen; Stufe 1 erfordert eine Prüfung durch einen externen Gutachter Stufe 4 ermöglicht eine Selbsteinschätzung auf Basis von Datenvolumen und Gefährdungslage. Die Integration mit Gateways, die Daten kapseln, trägt zur Verringerung der Angriffsfläche bei, entbindet Benutzer jedoch nicht von der Einhaltung bewährter Verfahren.

Verschlüsselung: Schützen Sie Daten während der Übertragung mit SSL/TLS und konfigurieren Sie starke Algorithmen. Asymmetrische Kryptografie bietet zusätzliche Sicherheitsebenen durch die Trennung von öffentlichen und privaten Schlüsseln. Systeme aktualisieren und Schlüssel austauschen Es ist wichtig.

Tokenisierung: PANs werden durch zufällige Token ersetzt. Zahlungen werden mit internen Schlüsseln autorisiert. verhindern, dass sensible Daten unnötigerweise übertragen oder gespeichert werdenselbst in Ökosystemen mit mehreren Akteuren.

Authentifizierung: von zusätzlichen Faktoren bis hin zur Transaktionsrisikoanalyse. 3D Secure (3DS) analysiert IP, Historie und Betrag; Wird ein Risiko erkannt, fordert das System einen zusätzlichen Schritt an (z. B. OTP per SMS/E-Mail)..

SSL/TLS und „Vorhängeschloss“: Das Präfix HTTPS kennzeichnet einen verschlüsselten Kanal, aber Vorsicht: Auch bösartige Websites können Zertifikate erlangen.Das Schloss ist also kein Blankoscheck.

AVS und CVV: Adressverifizierung und Sicherheitscode sorgen für einen sinnvollen zusätzlichen Reibungsverlust. Zusammen funktionieren sie besser. (AVS kann aufgrund veralteter Adressen versagen, und CVV ist angreifbar, wenn es durchgesickert ist), daher ist es ratsam, sie in einen mehrschichtigen Ansatz zu integrieren.

Zahlungssicherheit und Compliance

Zahlungsmethoden und bewährte Vorgehensweisen auf Nutzerseite

Auf der Karte fragt das Geschäft nach Name, Kartennummer, Ablaufdatum und oft auch nach dem CVV-Code. Falls ein Bankgateway vorhanden ist, wird der Vorgang in einer sicheren Umgebung außerhalb des Geschäfts abgeschlossen.der die Daten nicht einsehen kann; andernfalls liegen Verantwortung und Risiken beim Geschäft. (siehe Zahlung in bar oder mit Karte)

Auf betrügerischen Webseiten Die Kartendaten gelangen in die Hände von Kriminellen. Bei unautorisierten Käufen oder Social Engineering empfiehlt sich eine einfache Maßnahme: Verwenden Sie eine Kreditkarte, die ausschließlich online genutzt werden kann und über ein begrenztes Guthaben verfügt, um die Auswirkungen solcher Vorfälle zu minimieren.

Vermittler (PayPal, Amazon Pay, Google Pay, Apple Pay) Sie fungieren als Schutzebene für Privatsphäre und Streitbeilegung.Das Geschäft sieht die Karte nicht, und der Anbieter hilft bei Betrugsfällen. Seien Sie jedoch vorsichtig mit... Phishing-Angriffe, die sich als diese Marken ausgeben.

Mit NFC-fähigen Mobiltelefonen ermöglichen Google Pay/Apple Pay kontaktloses Bezahlen und Zahlungen innerhalb von Apps. Die Sicherheit basiert auf Tokenisierung und Geräteauthentifizierung.Es ist aber keine gute Idee, "alles zu vertrauen": Überprüfen Sie Ihre Käufe, die Berechtigungen der Apps und die Beträge.

Bizum, integriert ins Mobile Banking, beschleunigt Überweisungen zwischen Privatpersonen und Unternehmen. Erfordert die offizielle Banking-App, eine 4-stellige PIN und Zwei-Faktor-Authentifizierung.Viele Betrugsversuche erfolgen per SMS, in der Sie zur Annahme von Zahlungen aufgefordert werden: Überprüfen Sie daher immer den Absender, bevor Sie die Zahlung bestätigen.

In Spanien bieten OSI/INCIBE Ressourcen und eine 017-Hotline für Fragen zur Cybersicherheit an. Sich selbst zu schulen und zu wissen, wie man wiederkehrende Betrugsmaschen (wie BEC oder Phishing) erkennt, beugt vielen Problemen vor..

Bezüglich Cookies Sie sind für Komfort und Funktionalität unerlässlich.Sie können Kategorien aktivieren/deaktivieren, außer jene, die unbedingt erforderlich sind. Bitte beachten Sie, dass Das Blockieren bestimmter Cookies kann die Benutzererfahrung beeinträchtigen. und dass Ihre Auswahl normalerweise gespeichert wird, wenn Sie auf „Änderungen speichern“ klicken.

Online-Finanzplattformen, PSD2 und Open Banking

Die durch die Pandemie beschleunigte Digitalisierung hat Fintech und Open BankingDie PSD2-Verordnung ermöglicht die Zusammenführung von Konten und von Dritten initiierten Zahlungen und erweitert damit das Spektrum der Plattformen.

Gängige Arten: Online-Banking, Wallets, PFM (Personal Finance), Kryptowährungen, Trading usw. Elektronische Geldbörsen ermöglichen kleine und häufige Zahlungen und sie sind in der Regel kostenlos zwischen Wallets, Gebühren fallen jedoch für Abhebungen auf Bankkonten an.

PayPal ist das klassische Beispiel für eine erweiterte Geldbörse und eine Alternative zur Karte. Bei diesem System übernimmt in der Regel derjenige die Provision, der das Geld erhält., was das Einkaufserlebnis vereinfacht.

Im Kryptobereich sichert die Blockchain Transaktionen und kontrolliert die Ausgabe von Kryptowährungen. Vorteile: geringere Kosten durch Wegfall der Zwischenhändler und nahezu sofortige AbwicklungIm Gegensatz zu PayPal erfolgt eine Bitcoin-Transaktion als Peer-to-Peer-Transaktion über ein öffentliches, verteiltes Netzwerk, und die jüngste Welle von MiCA-Lizenzen kennzeichnet relevante regulatorische Änderungen.

Der Onlinehandel wird immer zugänglicher, erfordert Makler- und damit verbundene Provisionen.Benutzerfreundlichkeit beseitigt kein Risiko: Mit Hebelwirkung kann man viel gewinnen, aber genauso schnell alles verlieren.

Risiken dieser Plattformen: mangelnde Finanzbildung, Sicherheit (Kryptowährungen halten sich derzeit gut, obwohl Quantencomputing eine Herausforderung für die Zukunft darstellt), Volatilität, Suchtpotenzial, intransparente Gebühren, Regulierung (Broker gemäß MiFID prüfen) und Datenschutz.

Einige Lösungen bieten geführte Touren oder interaktive Touren Funktionen und Risiken verstehen. Nutzen Sie sie, aber delegieren Sie keine kritischen Beurteilungen: Ihre beste Verteidigung ist das Verständnis des Produkts.

Die Kosten von Betrug und wie man ein sicheres Zahlungssystem einrichtet

Betrug im E-Commerce ist kostspielig: In Großbritannien wurden im ersten Halbjahr 2022 Hunderte Millionen Pfund Sterling durch autorisierte und unautorisierte Betrugsmaschen gestohlen. Im Jahr 2020 entfielen 66 % aller Kartenbetrugsfälle auf Betrug im E-Commerce. mit Hunderten von Millionen Pfund. Darüber hinaus dominiert BEC (Business Email Compromise) die Betrugsversuche im Zahlungsverkehr und Mehr als die Hälfte der AP-Abteilungen melden E-Mail-Angriffe.

Im Bereich Cybersicherheit gibt die britische Regierung an, dass 39 % der Unternehmen Angriffe festgestellt haben; von diesen 89 % waren Phishing-Angriffe. 21 % der Vorfälle waren auf DDoS-Angriffe, Malware oder Ransomware zurückzuführen. Auch die Kosten von Sicherheitslücken spielen eine bedeutende Rolle: IBM/Ponemon schätzt Millionen pro Vorfall in Großbritannien.

Vier wichtige Schritte zur Einrichtung von Online-Zahlungen

  • Verdächtiges erkennen: Mehrere Bestellungen von derselben IP-Adresse mit unterschiedlichen Karten, ungewöhnliche Tickets mit Expressversand… mehrere Datenpunkte verwenden, um um zwischen „guten“ und „schlechten“ Transaktionen zu unterscheiden.

  • AVS + CVV2 aktivieren: Adress- und Sicherheitscodeprüfung, Zusammen setzen sie die Messlatte für Betrüger höher..

  • PCI-DSS-konform: mit einem kompetenten Partner für Scanning, Schulung und Support. Sie werden die Wahrscheinlichkeit und die Auswirkungen von Lücken verringern..

  • Die Wahl des richtigen Prozessors: Ein Lieferant, der Sicherheit priorisiert und Ihr Modell versteht, wird Ihnen helfen. Ausgleich von Reibung und Umwandlung.

Strategien, Lieferanten und Werkzeuge für einen Betrieb mit geringerem Risiko

Viele Plattformen delegieren das Zahlungsrisiko an Dritte, um den operativen Aufwand zu verringern. Lösungen für ein „Managed Risk Management“ umfassen Kredit- und Betrugsüberwachung sowie sogar die Kontrolle nicht einbringbarer negativer Salden. von vernetzten Unternehmen, wodurch die Plattform sich auf ihr Kerngeschäft konzentrieren kann.

Diejenigen, die sich für ein internes Risikomanagement entscheiden Sie benötigen technisches Know-how, operative Kapazitäten und Kapital, um Verluste aufzufangen., wie beschrieben von Risiken des Betriebs mit HandelsplattformenNeben der Integration von Betrugsbekämpfungsinstrumenten, der Überwachung und Berichterstattung von Verlustkennzahlen sind auch Rechts- und Unterstützungsdienste von entscheidender Bedeutung: Die Beantwortung von Audits und Anfragen von Nutzern bezüglich Rückbuchungen oder Verzögerungen bei Überweisungen ist unerlässlich.

Unter den verfügbaren Kits zeichnen sich KI-basierter Schutz und konfigurierbare Regeln besonders aus. Sperrkonten und riskante TransaktionenOnboarding-Workflows, die Dokumente erfassen und sich an regulatorische Änderungen anpassen, Lösungen zur Identitätsprüfung für Stoppt gefälschte Profile!, fortgeschrittene Analysen (z. B. SQL-ähnliche Abfragen Ihrer Daten) und Webhooks für BenachrichtigungenBei Zahlungen an Dritte ermöglichen flexible Zahlungspläne die Verschiebung oder Verlangsamung der Zahlungen je nach Profil des Verkäufers.

Es gibt auch Zahlungsabwicklungsplattformen mit Betrugserkennung in Echtzeit und Weiterleitung durch den effizientesten Authentifizierungsprozess, wobei die Unabhängigkeit vom Acquirer gewahrt wird, um Autorisierung und Sicherheit zu optimieren.

Im Bereich der Chargeback-Minimierung gibt es Netzwerke, die Emittenten und Händler (wie beispielsweise Ethoca) miteinander verbinden. Benachrichtigen Sie über Rückbuchungsversuche und ermöglichen Sie schnelle Rückerstattungen. bevor der formale Prozess eskaliert, wodurch Zeit und Kosten gespart werden.

Risikomodelle und maschinelles Lernen angewendet auf Zahlungen

Über Regeln hinaus können Modelle Zahlungsverhalten im Zeitverlauf verfolgen und um Zahlungsausfälle oder Betrugsfälle bei sich ändernden wirtschaftlichen oder kundenbezogenen Bedingungen vorherzusehen. Techniken wie GBDT, SVM oder klassische Methoden (Logit, Diskriminanzanalyse) haben sich in Scoring- und Erkennungsszenarien als wirksam erwiesen.

Die Auswahl der Variablen ist wichtig: Genetische Algorithmen helfen bei der Auswahl relevanter Merkmale. mit effizienten Heuristiken; der typische Ablauf wiederholt Population, Fitness, Selektion, Crossover und Mutation, bis er auf Teilmengen mit besserer Vorhersagekraft konvergiert.

Es gibt Herausforderungen im Zusammenhang mit den Daten: fehlende Werte und vor allem extremes Ungleichgewicht zwischen „gut“ und „böse“Subsampling und Oversampling können hilfreich sein, sind aber kein Allheilmittel; ihre Nützlichkeit hängt vom Datensatz ab und sie müssen streng validiert werden.

Die Modelle benötigen kontinuierliche Überwachung und Neukalibrierung Um Abweichungen zu vermeiden: Wenn sich Muster ändern (neue Betrugstaktiken, makroökonomische Veränderungen), sinkt die Performance, wenn keine Aktualisierung erfolgt. Stabilitätsmetriken, Backtesting und Champion/Challenger-Tests sind empfehlenswerte Vorgehensweisen.

Schließlich ist KI ein extrem leistungsstarkes Werkzeug, aber Es muss durch betriebswirtschaftliches Wissen und ein gutes Risikomanagement ergänzt werden.Die Kombination aus Daten, Erfahrung und Technologie macht letztendlich den Unterschied im Geschäftsergebnis aus.

Betrachten wir das Gesamtbild – Bedrohungen, technische Kontrollen, Risikoprozesse, Standards und Werkzeuge –, Das Rezept beinhaltet die sorgfältige Auswahl derjenigen, die man ins Team holt, die Überwachung der Vorgänge, das rechtzeitige Eingreifen, die Einhaltung der Vorschriften und das Vertrauen in zuverlässige Partner.All dies, während wir Kunden und Verkäufern ein reibungsloses Erlebnis bieten, mit sicheren Zahlungsmethoden (Karte, Wallets, NFC oder Bizum) und ohne dabei unsere Wachsamkeit gegenüber Betrugsmaschen zu vernachlässigen, die sich leider ständig weiterentwickeln.

KI-gestützte Betrugserkennung im Fintech-Bereich
Verwandte Artikel:
Betrugserkennung mit künstlicher Intelligenz im Fintech-Bereich